Устройства PowerProtect DP Series и IDPA. Обнаружено сканирование на наличие уязвимостей безопасности «Сервер TLS SSL поддерживает использование шифров статических ключей» в DPC

Сводка: Устройства серии PowerProtect Data Protection (DP) и IDPA: Обнаружено сканирование уязвимостей безопасности «Сервер TLS-SSL поддерживает использование шифров с статическим ключом» в Data Protection Central (DPC) на порте 443. Ниже приведено временное решение этой проблемы. ...

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Инструкции

Следующая уязвимость была обнаружена в DPC на порте 443 для IDPA:

Для DPC версии 19.5.0-8 он поставляется с IDPA версии 2.7.2–2.7.4:

Заголовок уязвимости Названия ресурсов Служебный порт Уровень серьезности уязвимости Описание уязвимости Защита от уязвимостей
Сервер TLS/SSL поддерживает использование шифров с статическим ключом. DPC 443 3 Сервер настроен для поддержки шифров, известных как шифры со статическим ключом. Эти шифры не поддерживают «прямую секретность». В новой спецификации HTTP/2 эти шифры были занесены в черный список. Согласовано со следующими незащищенными пакетами шифрования:
TLS 1.2 ciphers:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384


Для DPC версии 19.7.0-9 или более поздней (с IDPA версии 2.7.6 или более поздней):

Заголовок уязвимости Названия ресурсов Служебный порт Уровень серьезности уязвимости Описание уязвимости Защита от уязвимостей
Сервер TLS/SSL поддерживает использование шифров с статическим ключом. DPC 443 3 Сервер настроен для поддержки шифров, известных как шифры со статическим ключом. Эти шифры не поддерживают «прямую секретность». В новой спецификации HTTP/2 эти шифры были занесены в черный список. Согласовано со следующими незащищенными пакетами шифрования:
TLS 1.2 ciphers:
TLS_RSA_WITH_AES_256_GCM_SHA384

 

Примечание. DPC по умолчанию использует слабые шифры для связи с более старыми версиями систем DD и Avamar. В IDPA версии 2.7.2 или 2.7.3 версия программного обеспечения для защиты (Avamar) исправлена 19.4, а версия платформы защиты данных (DD) — 7.6.0.40. Таким образом, слабые шифры могут быть отключены.


Чтобы обойти эту уязвимость, выполните следующие действия по обновлению шифров.

  1. Войдите в DPC в качестве администратора , затем su - пользователю root.
  2. Измените каталог на /etc/nginx/conf.d/
cd /etc/nginx/conf.d
  1. Создайте копию default.conf, например:
cp -p default.conf default.conf.$(date -I)
  1. Отредактируйте файл default.conf и измените ssl_ciphers параметр:
vi default.conf

From:

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:AES256-GCM-SHA384:AES256-SHA256:AES128-SHA256:AES128-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256";

на:

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256";

Ожидаемый синтаксис будет следующим: 

Ожидаемые шифры в default.conf

  1. Сохраните файл.

Нажмите клавишу Esc на клавиатуре, чтобы вернуться в командный режим vi. Затем нажмите :wq! , чтобы сохранить файл.

  1. Перезапустите службы DPC.
/usr/local/dpc/bin/dpc restart
 
Примечание. Приведенные выше инструкции относятся к системам DPC, работающим в FIPS disabled режим. Для систем DPC, работающих в FIPS-enabled изменения, описанные выше изменения должны быть внесены в эти три файла: 
/etc/nginx/conf.d/default.conf
/etc/nginx/conf.d/custom_config/FIPSdefault.conf
/etc/nginx/conf.d/custom_config/SSOdefault.conf

Затронутые продукты

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Свойства статьи
Номер статьи: 000206767
Тип статьи: How To
Последнее изменение: 16 May 2026
Версия:  8
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.